跨國應用安全公司ImmuniWeb發布最新調查研究報告，探尋全球網絡安全行業本年(nián)度暗網暴露情況。報告披露，97%的(de)主流網絡安全公司在暗網上暴露有數據洩露或其他安全事件，每家安全公司平均有超過4000份被盜憑證和(hé)其他敏感數據暴露于暗網。

   正如(rú)ImmuniWeb的(de)研究所示，即使是網絡安全行業本身也無法幸免于數據洩露。

   關于全球主流網絡安全公司的(de)安網暴露情況，此項研究的(de)主要發現有：

   97%的(de)公司在暗網上暴露有數據洩露和(hé)其他安全事件。

    發現的(de)631,512起已确認安全事件中，超過25%（160,529）歸屬高(gāo)風險等級類别或嚴重風險等級類别，包含明文憑證或個人可(kě)識别信息（PII）等高(gāo)度敏感的(de)信息，包括金融或類似數據。由此，每家網絡安全公司平均暴露1586份被盜憑據和(hé)其他敏感數據。ImmuniWeb的(de)研究中還發現了超過100萬起（1,027,395）未确認事件，估測僅159,462起為(wèi)低(dī)風險事件。

   29%的(de)被盜密碼是弱密碼，162家公司的(de)員工重複使用密碼：研究發現，29%的(de)被盜密碼強度很弱，長(cháng)度少于8個字符，或是缺少大寫字母、數字或其他特殊字符；而162家公司的(de)大約40名員工，在不同數據洩露事件中重複使用相同的(de)密碼，增加了網絡罪犯進行密碼重用攻擊的(de)風險。

   工作電子(zǐ)郵件被用于色情和(hé)成人約會網站：ImmuniWeb的(de)研究發現，5,121份憑證盜自(zì)被黑色情或成人約會網站，表明第三方數據洩露占據此類安全事件的(de)一(yī)大部分。

   63%的(de)網絡安全公司網站不符合PCI DSS要求：意味着這些網站使用脆弱或過時的(de)軟件（包括JS庫和(hé)框架），或者未将Web應用防火牆（WAF）置于阻止模式。

   48%網絡安全公司網站不符合GDPR要求：因為(wèi)存在脆弱軟件，缺乏明顯的(de)隐私政策，或cookie包含PII或可(kě)跟蹤标識符時缺少免責聲明。

91家公司存在可(kě)利用的(de)網站安全漏洞，其中26%尚未修複：ImmuniWeb的(de)這項發現援引了Open Bug Bounty漏洞獎勵項目中公開可(kě)用的(de)數據。

    此項研究采用ImmuniWeb的(de)免費在線域名安全測試（Domain Security Test）進行，結合了經機器學(xué)習增強的(de)專有OSINT技術，旨在發現和(hé)分類暗網暴露。測試對象涵蓋來自(zì)26個國家的(de)398家主流網絡安全公司（其中大多數是美國和(hé)歐洲的(de)公司）。

   美國的(de)網絡安全公司遭受了最嚴重的(de)高(gāo)風險事件，其次是英國和(hé)加拿大，然後是愛爾蘭、日本、德國、以色列、捷克共和(hé)國、俄羅斯和(hé)斯洛伐克。

   在接受測試的(de)398家網絡安全公司中，隻有瑞士、葡萄牙和(hé)意大利的(de)公司沒有遭受任何高(gāo)風險或重大風險事件，而比利時、葡萄牙和(hé)法國公司遭受的(de)已确認事件數量最少。